Există vreo diferență între utilizarea unui cookie și utilizarea unui antet normal în cazul comunicării HTTP?

cr001

17.04.2023, 05:55

Am un sistem format dintr-un software personalizat și un server HTTP. Software-ul va trimite unele solicitări cu niște anteturi și serverul HTTP va trimite răspunsul înapoi.

Acum am niște anteturi personalizate legate de autentificare pe care serverul le va trimite software-ului, software-ul va păstra acele anteturi și le va trimite înapoi în fiecare solicitare suplimentară pentru a ocoli procesul de autentificare.

Pe baza înțelegerii mele, acest lucru ar trebui făcut folosind cookie-uri. Cu toate acestea, în dezvoltarea de software personalizat, adăugarea antetelor normale este ușoară, în timp ce adăugarea cookie-urilor este mai greu de implementat, iar utilizarea antetelor normale funcționează la fel de bine pe baza testării.

Ceea ce vreau să știu este, există vreun motiv de securitate și/sau alte motive pentru care un cookie ar trebui să fie utilizat în locul unui antet personalizat HTTP normal?

197

0 + 0

http

cookie-uri

anteturi http

shearn89

17.04.2023, 09:56

Cookie-urile sunt adesea setate prin trimiterea unui antet de la server - în nod, de exemplu: `res.setHeader('Set-Cookie', 'sessionCookie=value; HttpOnly');`

Răspunde

Puncte:2

Server

Bob

17.04.2023, 07:43

Aceasta este mai degrabă o întrebare de dezvoltare de software și probabil că va atrage răspunsuri mai bune pe StackOverflow, Software Engineering sau, eventual, pe site-urile de securitate SE.

Dar cel mai simplu răspuns este că un antet este setat de client și în general static, cum ar fi, de exemplu, includerea unui anumit token API la fiecare solicitare.

Sesiunile și cookie-urile sunt setate de server. Cel mai târziu oferă serverului mai mult control și, probabil, o securitate mai bună. Serverul le poate expira fără a invalida acreditările reale cu care vă autentificați, făcându-vă să vă autentificați din nou (de exemplu, întotdeauna după X ore sau un timp de inactivitate) sau să le schimbați valoarea pentru a preveni atacurile de sesiune înaltă sau atacurile de reluare.

0 + 0

shearn89

17.04.2023, 09:56

Pentru a adăuga - cookie-urile pot fi, de asemenea, criptate de server, astfel încât clientul să nu le poată modifica cu ușurință!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is there any difference between using a cookie and using a normal header in the case of HTTP communication?

TH: มีความแตกต่างระหว่างการใช้คุกกี้และการใช้ส่วนหัวปกติในกรณีของการสื่อสาร HTTP หรือไม่

RO: Există vreo diferență între utilizarea unui cookie și utilizarea unui antet normal în cazul comunicării HTTP?

RU: Есть ли разница между использованием файла cookie и использованием обычного заголовка в случае HTTP-связи?

VI: Có sự khác biệt nào giữa việc sử dụng cookie và sử dụng tiêu đề bình thường trong trường hợp giao tiếp HTTP không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.